Gli aggressori offrono oltre 500000 dati Zoom degli utenti nei forum degli hacker e darknet
Lo specialista di IntSights ha scoperto che oltre 500000 account zoom sono venduti su darknet e sui forum degli hacker. I dati inclusi in un account includono le credenziali dell’utente (e-mail, password), nonché ID di riunione, nomi host e chiavi. Era un database relativamente piccolo contenente solo circa 2300 record.
Un ricercatore di IntSights ha dichiarato: “Un database trovato su una darknet può contenere informazioni parziali, ma in altri casi è possibile trovare un set completo di dati, incluso un codice PIN per tutte le sessioni aperte. Avendo accesso all’URL, all’identificatore e al codice PIN, l’attaccante ha l’opportunità sia di entrare nella videoconferenza sia di prenderne il controllo (e, ad esempio, iniziare a rimuovere i partecipanti solo per divertimento) ”.
Ora anche Cybersecurity di Cyble ha concordato con il punto di vista di InSights e ha riferito che sono disponibili mezzo milione di record. Hanno detto, le credenziali che hanno trovato sono il risultato di un attacco del tipo di riempimento delle credenziali.
Lo stuffing delle credenziali si riferisce a una situazione tipica in cui nomi utente e password vengono rubati da alcuni siti e quindi utilizzati contro altri utenti. Cioè, gli aggressori hanno un database di credenziali (acquistati su darknet, raccolti in modo indipendente e così via) e provano a utilizzare questi dati per accedere a qualsiasi sito e servizio.
I conti di trading di Zoom sono stati segnalati il 1 ° aprile 2020. Secondo gli esperti, alcuni aggressori tra cui l’Università del Vermont, l’Università del Colorado, il Dartmouth College e l’Università della Florida hanno distribuito gratuitamente account hackerati, cercando così di guadagnare una reputazione in la comunità degli hacker.
Nel contattare diverse vittime dall’elenco utilizzando gli indirizzi e-mail forniti, è stato confermato che tali account esistono. Una di queste vittime ha detto che la password menzionata era vecchia, quindi alcune credenziali erano probabilmente il risultato di vecchi attacchi di riempimento delle credenziali.
Notando questo trading, gli specialisti di Cyble lo hanno contattato e hanno accettato di acquistare un gran numero di account per avvisare gli utenti dei problemi che si presentano. Acquisiscono le informazioni su circa 530.000 account Zoom al costo di $ 0,0020 per account. Sono stati in grado di confermare anche l’autenticazione dei dati controllando gli account di proprietà dei clienti dell’azienda.
Gli specialisti della sicurezza delle informazioni affermano che “Riutilizzare le stesse password è una cattiva idea e raccomandiamo agli utenti, che lo praticano, di cambiare le password il prima possibile”
Gli aggressori possono diffondersi utilizzando domini zoom falsi. I dipendenti di Google, SpaceX e NASA attualmente rifiutano questa app. Ti consigliamo inoltre di non utilizzare questa applicazione.